Οι ηθοποιοί της απειλής κάνουν κατάχρηση του DocuSign’s Envelopes API για να δημιουργήσουν και να διανείμουν μαζικά πλαστά τιμολόγια που φαίνονται γνήσια, πλαστογραφώντας γνωστές επωνυμίες όπως η Norton και η PayPal.
Χρησιμοποιώντας μια νόμιμη υπηρεσία, οι εισβολείς παρακάμπτουν τις προστασίες ασφαλείας email καθώς προέρχονται από έναν πραγματικό τομέα DocuSign, το docusign.net.
Ο στόχος είναι οι στόχοι τους να υπογράφουν ηλεκτρονικά τα έγγραφα, τα οποία στη συνέχεια μπορούν να χρησιμοποιήσουν για να εξουσιοδοτήσουν πληρωμές ανεξάρτητα από τα τμήματα τιμολόγησης της εταιρείας.
Πηγή: Wallarm
Αποστολή ρεαλιστικών αιτημάτων υπογραφής
Το DocuSign είναι μια πλατφόρμα ηλεκτρονικών υπογραφών που επιτρέπει την ψηφιακή υπογραφή, αποστολή και διαχείριση εγγράφων.
Ο Envelopes API είναι ένα βασικό στοιχείο του eSignature REST API του DocuSign, το οποίο επιτρέπει στους προγραμματιστές να δημιουργούν, να στέλνουν και να διαχειρίζονται δοχεία εγγράφων (φάκελοι) που καθορίζουν τη διαδικασία υπογραφής.
Το API προορίζεται να βοηθήσει τους πελάτες να αυτοματοποιήσουν την αποστολή των εγγράφων που χρειάζονται υπογραφή, να παρακολουθήσουν την κατάστασή τους και να τα ανακτήσουν όταν υπογραφούν.
Σύμφωνα με ερευνητές ασφαλείας της Wallarm, οι φορείς απειλών που χρησιμοποιούν νόμιμους λογαριασμούς DocuSign επί πληρωμή κάνουν κατάχρηση αυτού του API για να στείλουν πλαστά τιμολόγια που μιμούνται την εμφάνιση και την αίσθηση αξιόπιστων εταιρειών λογισμικού.
Αυτοί οι χρήστες απολαμβάνουν πλήρη πρόσβαση στα πρότυπα της πλατφόρμας, επιτρέποντάς τους να σχεδιάζουν έγγραφα που μοιάζουν με την επωνυμία και τη διάταξη της προσωποποιημένης οντότητας.
Στη συνέχεια, χρησιμοποιούν τη λειτουργία API «Φάκελοι: δημιουργία» για να δημιουργήσουν και να στείλουν μεγάλο όγκο δόλιων τιμολογίων σε πολλά πιθανά θύματα.
Πηγή: Wallarm
Η Wallarm λέει ότι οι χρεώσεις που παρουσιάζονται σε αυτά τα τιμολόγια διατηρούνται σε ένα ρεαλιστικό εύρος για να αυξηθεί η αίσθηση της νομιμότητας του αιτήματος υπογραφής.
“Εάν οι χρήστες υπογράψουν ηλεκτρονικά αυτό το έγγραφο, ο εισβολέας μπορεί να χρησιμοποιήσει το υπογεγραμμένο έγγραφο για να ζητήσει πληρωμή από τον οργανισμό εκτός του DocuSign ή να στείλει το υπογεγραμμένο έγγραφο μέσω του DocuSign στο οικονομικό τμήμα για πληρωμή.” εξηγεί ο Wallarm.
“Άλλες προσπάθειες έχουν συμπεριλάβει διαφορετικά τιμολόγια με διαφορετικά είδη, συνήθως ακολουθώντας το ίδιο μοτίβο λήψης υπογραφών για τιμολόγια που στη συνέχεια εξουσιοδοτούν την πληρωμή στους τραπεζικούς λογαριασμούς των εισβολέων.”
Μεγάλης κλίμακας κατάχρηση DocuSign
Η Wallarm σημειώνει ότι αυτό το είδος κατάχρησης, το οποίο έχει αναφέρει στο DocuSign, συνεχίζεται εδώ και καιρό και οι πελάτες έχουν αναφέρθηκε τις καμπάνιες πολλές φορές στα φόρουμ κοινότητας της πλατφόρμας.
“Λαμβάνω ξαφνικά 3-5 μηνύματα ηλεκτρονικού “ψαρέματος” την εβδομάδα από τον τομέα docusign.net και καμία από τις τυπικές διευθύνσεις ηλεκτρονικού ταχυδρομείου αναφοράς, όπως το abuse@ ή το admin@ δεν λειτουργεί”, δημοσίευσε ένας πελάτης στα φόρουμ του DocuSign.
“Απορρίπτουν το email μου και δεν μπορώ να βρω καμία πληροφορία αναφοράς στη σελίδα Συχνών Ερωτήσεων. Υποθέτω ότι έχω μείνει στην επιλογή του αποκλεισμού του τομέα;”
Οι επιθέσεις εμφανίζονται αυτοματοποιημένες και όχι χειροκίνητες απόπειρες χαμηλού όγκου, επομένως η κατάχρηση συμβαίνει σε μεγάλη κλίμακα που θα ήταν δύσκολο να χάσει η πλατφόρμα.
Η BleepingComputer επικοινώνησε με την DocuSign για να ρωτήσει σχετικά με τα μέτρα κατά της κατάχρησης και εάν σκοπεύουν να τα ενισχύσουν έναντι της αναφερόμενης δραστηριότητας, αλλά δεν ήταν άμεσα διαθέσιμο κάποιο σχόλιο.
Δυστυχώς, τα τελικά σημεία API είναι δύσκολο να ασφαλιστούν όταν οι φορείς απειλών δημιουργούν εμπορικούς λογαριασμούς που επιτρέπουν την πρόσβαση σε αυτές τις δυνατότητες.
Μερικά πρόσφατα παραδείγματα του τρόπου με τον οποίο οι χάκερ έκαναν κατάχρηση API στο παρελθόν περιλαμβάνουν την επαλήθευση των αριθμών τηλεφώνου εκατομμυρίων χρηστών Authy, την απόρριψη των πληροφοριών 49 εκατομμυρίων πελατών της Dell και τη σύνδεση διευθύνσεων email με 15 εκατομμύρια λογαριασμούς Trello.
VIA: bleepingcomputer.com
